1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

DNS/Kerberos

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von silu, 24.07.07.

  1. silu

    silu Granny Smith

    Dabei seit:
    22.07.07
    Beiträge:
    13
    Hallo zusammen
    Bei uns an der Schule ist der Dienst DNS im ServerAdmin nicht eingerichtet worden. Das heisst die Namensauflösung übernimmt der DNS des Providers. Letzte Woche besuchte ich einen Kurs OS X Server dort hat man mir gesagt, dass der Dienst DNS unbedingt eingerichtet und aktiviert sein müsse. Ist dem so? Was sind Vor- und Nachteile?
    Auch ist Kerberos an unserer Schule gestoppt. Mir wurde gesagt, dass dieser Dienst arbeiten müsse! Kann mir jemand erklären was nun richtig ist?
    P.S. Wir hosten keine Website auf unserem Server.
    Danke!
    silu
     
  2. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Um Kerberos auf einem Mac OS X Server aktivieren zu können muß für die IPs des Servers jeweils ein A und ein PTR Record passend im DNS eingetragen sein. Wenn diese nicht in beide Richtungen aufgelöst werden können kann Kerberos nicht funktionieren. Wenn Euer Provider das für Euch erledigt sollte es kein Problem sein. Wenn er das nicht tut, kanns nicht klappen.

    Schau einfach mal nach ob die IP und der DNS Name aufgelöst werden können.

    Verwendet Ihr interne IPs oder offizielle?
    Gruß Pepi
     
  3. El Capitan

    El Capitan Bismarckapfel

    Dabei seit:
    27.02.06
    Beiträge:
    75
    Der DNS des Providers kann nur Namen auflösen die er kennt-also die im www. Da euer Schulnetz höchstwahrscheinlich kein Teil des ofiziellen www ist, kann er Hostnamen bei euch auch nicht auflösen. Diese Aufgabe eben übernimmt ein inoffizieller (euer) DNS. Anfragen im eigenen Netz (in eurer Domäne) werden autoritativ (SOA-Eintag) beantwortet, bei alle anderen Anfragen wird der DNS des Providers konsultiert.

    Ich habe bislang Kerberos nur im lokalen Netzwerk benutzt. Das Kerberos Realm entspricht dann also genau meiner DNS Domain.

    Kerberos überprüft nicht nur die Echtheit von Benutzen, sondern auch die Echtheit aller anderer beteiligten Prizipals.

    Es erzeugt ebenfalls einige Schlüssel, die ganz offensichtlich auf einen DNS zeigen:
    • Construct DNS-session-key
    • Create DNS-ticket consisting of
      {user-name, DNS-server-name, WS-net-address, DNS-session-key}
    • Seals the DNS-ticket using the DNS server key which is known only to the TGS server and the DNS server.
    • Constructs a message consisting of
      {DNS-session-key, sealed DNS-ticket}
    näheres hier:
    http://www.scit.wlv.ac.uk/~jphb/comms/kerberos.html
     
  4. silu

    silu Granny Smith

    Dabei seit:
    22.07.07
    Beiträge:
    13
    Danke vielmals für deine Antwort!

    Soweit verstehe ich das. Unser Netz ist nicht Teil des offiziellen Netz. Aber der Dienst DNS ist bei uns auf dem Server bei ServerAdmin gar nicht gestartet. Wer löst dann die Anfragen im schuleigenen Netz auf? Haben wir kein DNS für das Intranet? Braucht es dies nicht zwingend? Wäre es von Vorteil dies einzurichten?
     
  5. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Du scheiterst offenbar noch ein wenig am Verständnis wer wofür zuständig ist in Sachen DNS und wer was wofür in Sachen DNS benötigt.

    DNS fürs Internet, damit Ihr munter Surfen könnt, erledigt Euer Provider für Euch. Dies wird möglicherweise noch durch einen hauseigenen DNS Cache beschleunigt. Je nach Netzwerkgröße kann dies auch vom Router/Firewall miterledigt werden.

    DNS fürs LAN, also Euer internes Netz müßt Ihr selbst machen. Dabei kann/sollte/muß Euch euer interner Sysadmin helfen, bzw. mitteilen ob Ihr das auf Eurem Server selbst machen müßt oder ob dies auch von Eurem internen DNS Cache erledigt werden kann. Dazu müßte eine entsprechende Zone fürs LAN eingerichtet werden.

    Um Kerberos auf dem Mac OS X Server verwenden zu können muß dieser Server für sich selbst in der Lage sein seine eigene IP Nummer in einen qualifizierten Hostnamen und zurück auflösen zu können. Welcher DNS Server das übernimmt ist grundsätzlich unerheblich. Wenn das kein bereits vorhandener solcher im Netzwerk übernimmt kann man das auch selbst machen.

    Die Mac OS X Server Dokumentation von Apple ist hier übrigens eine mehr als empfehlenswerte Lektüre die ich jedem angehenden Mac Server Admin nur ans Herz legen kann.
    Gruß Pepi
     
  6. silu

    silu Granny Smith

    Dabei seit:
    22.07.07
    Beiträge:
    13
    ok!

    Was ich immer noch nicht verstehe: Wer übernimmt die Funktion des DNS im lan (internes Schulnetz) wenn auf dem Server der DNS Dienst nicht eingerichtet und aktiviert ist?

    Die DNS des Providers können doch nur jene im Internet auflösen, oder?

    Danke für eine Antwort!!!
     
  7. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Wenns nicht ein anderer Server bei Euch im LAN tut, dann mußt Du es selbst machen. Habt Ihr keinen Sysadmin im Haus der sich mit Eurem LAN auskennt?
    Gruß Pepi
     

Diese Seite empfehlen